El 31 de marzo de 2026, la versión 2.1.88 de Claude Code —la herramienta de programación asistida por inteligencia artificial de Anthropic— se publicó en npm, una plataforma donde los desarrolladores distribuyen software, con un archivo de depuración que permitía reconstruir el código original a partir de su versión comprimida. Estos archivos son de uso interno, pero en este caso quedaron expuestos.
El paquete incluía un archivo de mapa de origen de 59,8 MB —un tipo de archivo que permite ver cómo está construido un programa— con cerca de 2.000 archivos y más de 512.000 líneas de código. La filtración fue detectada primero por el investigador de seguridad Chaofan Shou.
Un único parámetro mal configurado en el proceso de empaquetado bastó para que el archivo quedara incluido en la versión pública. El resultado fue inmediato: cualquier persona con conocimientos técnicos pudo acceder al interior de uno de los sistemas de inteligencia artificial más utilizados por desarrolladores.
Qué revela el código de Claude Code filtrado
El archivo expuesto contiene cerca de 1.900 ficheros y más de 512.000 líneas de código. En él se describe cómo funciona la herramienta por dentro, incluyendo sus principales componentes y la forma en que ejecuta tareas complejas de programación de manera automatizada.
- El sistema de conversación
- Los permisos que tiene la herramienta
- Su capacidad para leer archivos y ejecutar comandos
- La coordinación de varios sistemas trabajando al mismo tiempo
También se identificó una estructura de memoria en tres niveles, que hace que el sistema verifique la información directamente en el código antes de responder. Esto le permite mantener coherencia y reducir errores cuando procesa instrucciones complejas.
Uno de los hallazgos más importantes es KAIROS, una función que aparece más de 150 veces en el código. Se trata de un modo que trabaja en segundo plano, organizando la información, corrigiendo inconsistencias y preparando el contexto para futuras sesiones sin intervención del usuario.
También aparece un sistema llamado “Undercover Mode”, diseñado para evitar que la herramienta revele nombres de proyectos internos cuando trabaja con código público. En el código se incluye la instrucción “Do not blow your cover”, que en español significa “no te delates”.
Riesgos de seguridad tras la filtración
El problema no es solo que el código se haya hecho público. Al conocerse exactamente cómo funciona la herramienta, se vuelve más fácil crear proyectos de código diseñados para engañarla y hacer que ejecute acciones ocultas sin que el usuario lo note.
Además, existe un riesgo concreto para quienes actualizaron ese día. Algunos usuarios pudieron descargar una versión comprometida de una librería muy utilizada para conexiones a internet, que habría sido modificada para incluir software malicioso capaz de permitir el acceso remoto al equipo afectado.
Para comprobar si un sistema puede estar comprometido, se recomienda revisar las dependencias del proyecto —es decir, los programas o herramientas externas que utiliza— y verificar que no se hayan instalado versiones sospechosas. Si se detecta algo inusual, lo recomendable es actuar de inmediato y seguir las guías oficiales de seguridad.
Este incidente se suma a otros casos recientes relacionados con los modelos de Anthropic, que ya habían generado alertas sobre su comportamiento y seguridad en entornos controlados, como en el caso de Claude Opus 4, la IA que amenazó con revelar secretos de su creador.
Imagen: Editada con IA/ Gemini
